Det här dokumentet är ett utdrag från EUR-Lex webbplats
Dokument 32019Q1122(04)
Decision of the Single Resolution Board of 18 September 2019 on internal rules concerning restrictions of certain rights of data subjects in relation to processing of personal data in the framework of internal security incident investigations carried out by the Single Resolution Board (SRB/ES/2019/34)
Yhteisen kriisinratkaisuneuvoston päätös, annettu 18 päivänä syyskuuta 2019, rekisteröityjen tiettyjen oikeuksien rajoittamista yhteisen kriisinratkaisuneuvoston suorittamiin sisäisten tietoturvahäiriöiden tutkimuksiin liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä (SRB/PS/2019/34)
Yhteisen kriisinratkaisuneuvoston päätös, annettu 18 päivänä syyskuuta 2019, rekisteröityjen tiettyjen oikeuksien rajoittamista yhteisen kriisinratkaisuneuvoston suorittamiin sisäisten tietoturvahäiriöiden tutkimuksiin liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä (SRB/PS/2019/34)
EUVL L 301, 22.11.2019, s. 14–17
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Gällande
|
22.11.2019 |
FI |
Euroopan unionin virallinen lehti |
L 301/14 |
YHTEISEN KRIISINRATKAISUNEUVOSTON PÄÄTÖS,
annettu 18 päivänä syyskuuta 2019,
rekisteröityjen tiettyjen oikeuksien rajoittamista yhteisen kriisinratkaisuneuvoston suorittamiin sisäisten tietoturvahäiriöiden tutkimuksiin liittyvän henkilötietojen käsittelyn yhteydessä koskevista sisäisistä säännöistä (SRB/PS/2019/34)
YHTEINEN KRIISINRATKAISUNEUVOSTO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yhdenmukaisten sääntöjen ja yhdenmukaisen menettelyn vahvistamisesta luottolaitosten ja tiettyjen sijoituspalveluyritysten kriisinratkaisua varten yhteisen kriisinratkaisumekanismin ja yhteisen kriisinratkaisurahaston puitteissa sekä asetuksen (EU) N:o 1093/2010 muuttamisesta 15 päivänä heinäkuuta 2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 806/2014 (1), ja erityisesti sen 42 artiklan, 43 artiklan 5 kohdan, 50 artiklan 3 kohdan, 56 artiklan 1–3 kohdan, 61, 63 ja 64 artiklan,
ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (2),
ottaa huomioon Euroopan tietosuojavaltuutetun kuulemisen,
sekä katsoo seuraavaa:
|
(1) |
Yhteinen kriisinratkaisuneuvosto, jäljempänä ’SRB’, hoitaa kriisinratkaisuviranomaisen tehtäviä osana yhteistä kriisinratkaisumekanismia, jäljempänä ’YKM’, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 806/2014, mukaisesti. SRB:n tehtävänä on varmistaa, että ongelmapankkien kriisinratkaisu sujuu hallitusti ja vaikuttaa mahdollisimman vähän reaalitalouteen, rahoitusjärjestelmään sekä osallistuvien jäsenvaltioiden ja muiden maiden julkiseen talouteen. |
|
(2) |
SRB voi käsitellä henkilötietoja sen toimitiloihin asennettuja erilaisia järjestelmiä (videovalvonta, kulunvalvonta, vieraskirjat) varten. Näitä tietoja kerätään ainoastaan turvallisuussyistä (esimerkiksi sen seuraamiseksi, kuinka monta henkilöä rakennuksessa on, mahdollista evakuointia varten Euroopan komission turvallisuuspäätösten mukaisesti) rakennuksissa tai niiden ympäristössä tapahtuvien turvallisuushäiriöiden estämiseksi, havaitsemiseksi ja dokumentoimiseksi. |
|
(3) |
SRB, jota edustaa SRB:n konsernipalveluista ja tieto- ja viestintätekniikasta vastaavan yksikön päällikkö, käsittelee useita henkilötietoryhmiä, erityisesti yksilöintitietoja, yhteystietoja ja työhön tai ammattiin liittyviä tietoja. Henkilötiedot säilytetään suojatussa sähköisessä ympäristössä, joka estää lainvastaisen pääsyn tietoihin ja tietojen lainvastaisen siirtämisen henkilöille, joilla ei ole tiedonsaantitarvetta. Käsitellyt henkilötiedot säilytetään Euroopan komission tietojen säilyttämistä koskevien sääntöjen mukaisesti. Säilytysajan lopuksi kerätyt tiedot, henkilötiedot mukaan luettuna, poistetaan sovitun enimmäisajan kuluttua: vieraskirjat:6 kuukautta, videovalvontajärjestelmä:30 päivää, kulunvalvontajärjestelmä:2 kuukautta. |
|
(4) |
Sisäisiä sääntöjä olisi sovellettava kaikkiin käsittelytoimiin, joita SRB toteuttaa suorittaessaan turvallisuuskysymyksiin, turvallisuushäiriöiden estämiseen, havaitsemiseen tai tutkimiseen, SRB:n henkilöstön, omaisuuden ja tietojen suojeluun sekä SRB:n vierailijoihin liittyviä toimia. |
|
(5) |
Sisäisiä sääntöjä olisi sovellettava käsittelytoimiin, joita toteutetaan sisäisten turvallisuushäiriöiden tutkinnan sekä näiden tutkimusten tulosten seurannan yhteydessä. Sisäisiä sääntöjä olisi sovellettava käsittelytoimiin, jotka ovat osa SRB:n Turvallisuus/toimitilat-osastoon liittyviä toimia. Siihen olisi sisällyttävä myös apu ja yhteistyö, joita SRB:n Turvallisuus/toimitilat-osasto tarjoaa kansallisille viranomaisille, Belgian lainvalvontaviranomaisille, OLAFille, pelastuspalveluille ja kansainvälisille järjestöille muutoin kuin hallinnollisten tutkimusten yhteydessä. |
|
(6) |
Tapauksissa, joissa näitä sisäisiä sääntöjä sovelletaan, SRB:n on annettava perustelut siitä, miksi rajoitukset ovat ehdottoman tarpeellisia ja oikeasuhteisia demokraattisessa yhteiskunnassa, ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia. |
|
(7) |
Näissä puitteissa SRB on velvollinen kunnioittamaan mahdollisimman suuressa määrin rekisteröityjen perusoikeuksia sekä erityisesti muun muassa tietojen saatavuutta, oikaisemista, poistamista ja siirrettävyyttä koskevia oikeuksia, sellaisina kuin ne ovat vahvistettuina asetuksessa (EU) 2018/1725. |
|
(8) |
SRB:n on kuitenkin ehkä lykättävä tiedottamista rekisteröidyille ja muita rekisteröityjen oikeuksia erityisesti suojatakseen omia turvallisuushäiriöiden tutkimuksiaan, joihin liittyy videovalvonnasta tai kulunvalvontajärjestelmistä saatuja tietoja. |
|
(9) |
Näin ollen SRB voi lykätä tiedottamista suojatakseen turvallisuushäiriöiden tutkimuksia. |
|
(10) |
SRB:n on poistettava rajoitus heti, kun sen oikeuttavat olosuhteet eivät enää ole voimassa. |
|
(11) |
SRB:n on seurattava rajoitusten perusteita säännöllisesti kuuden kuukauden välein ja tarkistettava rajoituksia tarvittaessa. |
|
(12) |
SRB:n on kuultava tarkistusten yhteydessä tietosuojavastaavaa. |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Sisältö ja soveltamisala
1. Tässä päätöksessä vahvistetaan sisäiset säännöt edellytyksistä, joiden nojalla SRB voi sisäisten turvallisuushäiriöiden tutkimusten yhteydessä rajoittaa asetuksen (EU) 2018/1725 25 artiklan 14–21, 35 ja 4 artiklassa vahvistettujen oikeuksien soveltamista kyseisen asetuksen mukaisesti.
2. Tätä päätöstä sovelletaan henkilötietojen käsittelyyn, jota SRB suorittaa sisäisten turvallisuushäiriöiden tutkimiseksi sekä näiden tutkimusten tulosten jatkotoimien seuraamiseksi.
3. Kyseeseen tulevia tietoryhmiä voivat olla luotettavat tiedot (hallinnolliset tiedot, puhelinnumerot, yksityiset osoitteet, sähköistä viestintää ja liikennettä koskevat tiedot) ja/tai varmentamattomat tiedot (arvioinnit, tutkimusten käynnistäminen, alustavia tutkimuksia koskevat raportit).
4. Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä edellytyksistä ei muuta johdu: oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot ja siirtää tiedot, oikeus saada tietoja henkilötietojen tietoturvaloukkauksesta, oikeus tietojen luottamuksellisuuteen ja tietojenkäsittelytoimen periaatteet, mikäli ne liittyvät johonkin oikeuteen.
2 artikla
Rekisterinpitäjän ja takeiden eritelmä
1. Tietoturvaloukkausten, tietovuotojen tai luvattoman luovuttamisen välttämiseksi käytössä ovat seuraavat takeet: sähköisten kansioiden ja kanteluiden tekemiseen tarkoitetun erityisen sähköpostilaatikon pääsyoikeuksien rajoittaminen, avaimin suojatut kaapit sekä luottamuksellisia tietoja käsitteleville henkilöille annettava erityiskoulutus.
2. Näiden käsittelytoimien rekisterinpitäjä on SRB, jota tässä edustaa SRB:n konsernipalveluista ja tieto- ja viestintätekniikasta vastaavan yksikön päällikkö.
3. Kerätyt henkilötiedot tallennetaan ja niitä säilytetään Euroopan komission tietojen säilyttämistä koskevien sääntöjen ja Belgian 21.3.2007 antaman (valvontakameroiden asennusta ja käyttöä sääntelevän) lain mukaisesti. Säilytysajan suhteen noudatetaan periaatetta, jonka mukaan tietoja säilytetään vain niin kauan kuin käsittelytoimea varten on tarpeen ja mahdollisesti oikeudellisia tai hallinnollisia riita-asioita varten.
3 artikla
Rajoitukset
1. Asetuksen (EU) 2018/1725 25 artiklan 1 kohdan nojalla rajoituksia sovelletaan ainoastaan seuraavien asioiden takaamiseksi:
|
— |
rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy; |
|
— |
unionin toimielinten ja elinten ja myös niiden sähköisen viestinnän verkkojen sisäinen turvallisuus; |
|
— |
oikeudellisten menettelyjen suojelu; |
|
— |
säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytetoimet; |
|
— |
rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. |
2. Rajoitusten on oltava välttämättömiä ja oikeasuhteisia demokraattisessa yhteiskunnassa ja noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia.
3. Näiden sisäisten sääntöjen perusteella on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.
4. Rajoituksia on seurattava asianmukaisesti, ja vähintään kuuden kuukauden välein on suoritettava säännöllinen tarkistus.
5. Rajoitukset on poistettava heti, kun niitä oikeuttavat olosuhteet eivät enää ole voimassa.
6. Rekisteröidyn oikeuksiin ja vapauksiin kohdistuva riski on asetuksella (EU) N:o 2018/1725 taattujen rekisteröidyn oikeuksien, kuten oikeuden saada ja poistaa tietoja tai puolustautumisoikeuden, tosiasiallisen käytön väliaikainen rajoittaminen. Nämä riskit on otettava huomioon tämän artiklan 3 kohdassa mainitun tarpeellisuuden ja oikeasuhteisuuden testin soveltamisalassa.
4 artikla
Tietosuojavastaavan osallistuminen
1. SRB:n on koko rajoitusmenettelyn ajan ilmoitettava ilman aiheetonta viivytystä SRB:n tietosuojavastaavalle, jos se rajoittaa rekisteröityjen oikeuksien soveltamista tämän päätöksen mukaisesti. Sen on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin ja arvioon rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta.
2. Tietosuojavastaava voi pyytää rekisterinpitäjää kirjallisesti tarkastelemaan uudelleen rajoitusten soveltamista. SRB:n on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista ja rajoituksen poistamisesta.
5 artikla
Tiedon antaminen rekisteröidyille
1. SRB:n on liitettävä tietoturvaselosteisiin, jotka julkaistaan sen intranetissä ja verkkosivustolla ja joilla ilmoitetaan rekisteröidyille näiden oikeuksista kyseisen menettelyn yhteydessä, tiedot näiden oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, rajoittamisen syyt ja mahdollinen kesto.
2. Lisäksi SRB:n on annettava ilman tarpeetonta viivytystä ja kirjallisesti yksilöllistä tietoa rekisteröidyille heidän oikeuksistaan liittyen nykyisiin tai tuleviin rajoituksiin, sanotun kuitenkaan rajoittamatta seuraavan kohdan soveltamista.
3. Rekisteröidyille on ilmoitettava pääasialliset syyt rajoituksen soveltamiseen ja annettava tieto siitä, että heillä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle.
6 artikla
Rekisteröidyn oikeus saada pääsy tietoihin
1. Jos rekisteröidyt pyytävät pääsyä yhden tai useamman erityistapauksen yhteydessä käsiteltäviin henkilötietoihinsa tai tiettyyn käsittelytoimeen asetuksen (EU) 2018/1725 17 artiklan mukaisesti, SRB rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.
2. Jos SRB kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, sen on toteutettava seuraavat toimenpiteet:
|
a) |
Sen on asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa ilmoitettava sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa. |
|
b) |
Sen on kirjattava rajoituksen syyt sekä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta; kirjatuissa tiedoissa on tällöin ilmoitettava, miten pääsyn antaminen tietoihin vaarantaisi SRB:n harjoittamien tutkintatoimien tarkoituksen tai 2 artiklan 3 kohdan mukaisesti sovellettujen rajoitusten tarkoituksen tai vaikuttaisi haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin. Edellä a alakohdassa tarkoitettua tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti. |
3. Edellä 2 kohdan b alakohdassa tarkoitetut kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön. Tällöin sovelletaan asetuksen (EU) 2018/1725 25 artiklan 7 kohtaa.
7 artikla
Oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen ja oikeus käsittelyn rajoittamiseen
Jos SRB kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 18 artiklassa tarkoitettua oikeutta tietojen oikaisemiseen, 19 artiklan 1 kohdassa tarkoitettua oikeutta tietojen poistamiseen tai 20 artiklan 1 kohdassa tarkoitettua oikeutta käsittelyn rajoittamiseen, sen on toteuttava tämän päätöksen 6 artiklan 2 kohdassa tarkoitetut toimenpiteet ja rekisteröitävä kirjatut tiedot päätöksen 6 artiklan 3 kohdan mukaisesti.
8 artikla
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
Jos SRB rajoittaa asetuksen (EU) 2018/1725 35 artiklan mukaista henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle, sen on kirjattava ja rekisteröitävä rajoituksen syyt tämän päätöksen 3 artiklan 3 kohdan mukaisesti. Tällöin sovelletaan tämän päätöksen 3 artiklan 4 kohtaa.
9 artikla
Voimaantulo
Tämä päätös tulee voimaan seuraavana päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 18 päivänä syyskuuta 2019.
Yhteisen kriisinratkaisuneuvoston puolesta
Elke KÖNIG
Puheenjohtaja